التزامات المتحكم والمعالج في حالات خرق أو انتهاك البيانات الشخصية
يلتزم المتحكم والمعالج ، بحسب الأحوال ، حال حصول خرق أو انتهاك بإبلاغ المركز من خلال البوابة الإلكترونية أو الخط الساخن المعد لهذا الغرض من المركز ، وذلك خلال الأثنين وسبعين ساعة من تاريخ علمه بحصول الخرق أو الانتهاك ، على
‘أن يتم قيد ذلك بسجل إلكتروني مؤمن و معد لهذا الغرض ، يتضمن الآتى :
1- ساعة وتاريخ علمه بالخرق أو الانتهاك وتوقيت الإبلاغ به .
2- وصف طبيعة الخرق أو الانتهاك وتوفيت حدوثه بما يتيح للمركز التأكد من تقدير عدد تقريبي للبيانات المخترقة .
3- الآثار المحتملة جراء الخرق أو الانتهاك ، وحجم الضرر المتوقع منه .
4-التدابير العاجلة والإجراءات التصحيحية المتخذة حيال هذا الخرق أو الانتهاك .
5- بيانات مسئول حماية البيانات لديه .
6- أي وثائق أو بيانات أو معلومات إضافية يطلبها المركز .
وإذا كان الخرق أو الانتهاك ذو صلة باعتبارات حماية الأمن القومي أو الجهات القائمة عليها ، فيكون الإبلاغ للمركز فوراً على أن يتضمن البلاغ بالإضافة للشروط المشار إليها في الفقرة السابقة ما يأتي :
(أ) صلة الخرق أو الانتهاك باعتبارات حماية الأمن القومي .
(ب) حجم البيانات التي تأثرت بالخرق أو الانتهاك وتقدير الضرر الناشئ عن ذلك.
وفي جميع الأحوال ، يلتزم المتحكم والمعالج، بحسب الأحوال ،بإخطار الشخص المعنى بالبيانات خلال ثلاثة أيام عمل من تاريخ إبلاغ المركز بالخرق أو الانتهاك ، وإجراءات التأمين المتخذة ، وذلك بالوسيلة المتفق عليها (رسالة نصية –
بريد إلكتروني – اتصال هاتفي، والتي يكون قد حددها عند الموافقة على جمع بياناته .